خانه » یک پکیج مخرب NPM که به عنوان ابزار اتریوم معرفی شده، حاوی تروجان Quasar است

یک پکیج مخرب NPM که به عنوان ابزار اتریوم معرفی شده، حاوی تروجان Quasar است

توسط Vulnerbyt_News
Quasar RAT - تهدیدات سایبری - گروه vulnerbyte - گروه والنربایت -vulnerbyte group - اتریوم - پکیج‌های مخرب npm

تیم تحقیقاتی Socket یک پکیج  npm مخرب به نام ethereumvulncontracthandler را کشف کرده‌ است که خود را به عنوان ابزاری برای شناسایی آسیب ‌پذیری‌ها در قراردادهای هوشمند اتریوم معرفی می‌کند، اما در واقع حاوی تروجان دسترسی از راه دور Quasar (RAT) است.

پکیج ethereumvulncontracthandler به شدت مبهم بوده و در هجدهم دسامبر ۲۰۲۴ توسط کاربری به نام ‘solidit-dev-416’  در رجیستری npm منتشر شده است. این پکیج همچنان برای دانلود در دسترس می‌باشد و تا به امروز ۶۶ مرتبه بارگیری شده است.

این پکیج پس از نصب بر روی سیستم توسعه دهنده، یک اسکریپت مخرب را از یک سرور راه دور بازیابی و آن را به‌طور پنهان اجرا می‌کند تا  Quasar RATرا در سیستم‌ ویندوز قربانی مستقر نماید. اسکریپت با تغییر تنظیمات رجیستری ویندوز، تداوم دسترسی بدافزار را بر روی سیستم تضمین می‌کند و با یک سرور فرماندهی و کنترل (C2) برای دریافت دستورالعمل‌های بیشتر ارتباط برقرار می‌نماید.

پکیج ethereumvulncontracthandler از تکنیک‌های مبهم سازی پیچیده، از جمله رمزگذاری Base64 و XOR  برای فرار از شناسایی و تجزیه و تحلیل توسط مکانیزم‌های امنیتی استفاده می‌کند و بررسی‌هایی را برای جلوگیری از اجرا در محیط‌های Sandbox به انجام می‌رساند.

Quasar RAT به دلیل قابلیت‌های گسترده آن، از جمله ثبت کلیدهای فشرده شده کیبورد، استخراج داده‌های لاگین و فایل‌های خاص شناخته شده است و از زمان انتشار آن در سال ۲۰۱۴ تاکنون در کمپین‌های مختلف جرایم سایبری و جاسوسی استفاده می‌شود.

وجود این بدافزار خطرات قابل‌توجهی را برای توسعه‌دهندگان، به‌ویژه آنهایی که پروژه‌های حساس اتریوم را مدیریت می‌کنند، به همراه دارد، زیرا می‌تواند کلیدهای خصوصی و اطلاعات حیاتی مرتبط با دارایی‌های مالی را برباید.

دوم زانویه ۲۰۲۵ نیز socket اعلام کرد که ۲۰ پکیج مخرب را شناسایی کرده است که برای محیط توسعه قانونی Hardhat مورد استفاده توسط توسعه دهندگان اتریوم طراحی شده‌اند. این پکیج‌ها در مجموع بیش از ۱۰۰۰ بار دانلود شده‌اند.

پس از نصب پکیج‌ها، کد موجود در آنها تلاش می‌کند تا با استفاده از توابعی مانند hreInit() و hreConfig()، کلیدهای خصوصی Hardhat، فایل‌های پیکربندی و  mnemonicها را جمع‌آوری کند، سپس آنها را توسط یک کلید AES هارکد شده رمزگذاری کرده و به یک دامنه تحت کنترل مهاجم ارسال کند.

این رویدادهای امنیتی، آسیب پذیری‌های موجود در زنجیره تامین نرم افزار و اهمیت بررسی دقیق کدهای شخص ثالث را یادآوری می‌کنند. توسعه‌دهندگان نرم‌افزار می‌بایست به هنگام دانلود پکیج‌های npm هوشمندانه‌تر عمل کنند، صحت پکیج‌ها را تأیید نمایند، مراقب typosquatting ها باشند و کد منبع را پیش از نصب بررسی کنند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید